Login

Usuario
Password *
Su cesta está vacía!

Los estándares actualizados del Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU. Sobre seguridad de contraseñas publicados en la Publicación Especial (SP) 800-63-3 de NIST ("Directrices de identidad digital")  representan un enfoque novedoso para mejorar la seguridad de TI mientras se trabaja con, en lugar de "en contra", las capacidades y limitaciones del eslabón más débil en seguridad de la información: los propios usuarios. Las pautas actualizadas del NIST ofrecen a los adoptantes una serie de ventajas en cuanto a facilidad de uso y seguridad al tiempo que presentan nuevos riesgos y desafíos de implementación. Estos temas deben considerarse cuidadosamente antes, durante y después de la implementación de las nuevas directrices.

Resumen de las nuevas directrices

Las directrices anteriores de NIST abogaban por un enfoque convencional de la seguridad de contraseña basado en políticas como las reglas estrictas de complejidad, los restablecimientos regulares de contraseña y la reutilización restringida de contraseña. Los nuevos estándares de NIST adoptan un enfoque radicalmente diferente. Por ejemplo, los cambios de contraseña no son necesarios a menos que haya evidencia de un compromiso, y las reglas de complejidad estricta han sido reemplazadas por la flexibilidad de construcción, los tipos de caracteres ampliados, la mayor longitud y la prohibición de las contraseñas "malas" (es decir, inseguras). Las nuevas directrices de NIST tienen el potencial de hacer que la autenticación basada en contraseña sea menos frustrante para los usuarios y más efectiva para proteger el acceso a los recursos de TI, pero hay ventajas y desventajas.

Los fundamentos de los requisitos de contraseña según las pautas actualizadas de NIST SP 800-63-3 son:

Longitud : se recomiendan 8-64 caracteres.
Tipos de caracteres: los caracteres no estándar, como los emoticones, se permiten cuando es posible.
Construcción: se recomiendan frases de contraseña largas. No deben coincidir con las entradas en el diccionario de contraseñas prohibidas.
Restablecer: se requiere solo si la contraseña está comprometida u olvidada.
Multifactor: animado en todas las aplicaciones menos las menos sensibles.

 

Beneficios y riesgos, desde la perspectiva del usuario

Las directrices de contraseña del NIST actualizadas están diseñadas para mejorar la seguridad al abordar los factores humanos que a menudo socavan la protección de contraseña deseada. Bajo el enfoque tradicional para la construcción de contraseñas, se les pide a los usuarios que generen contraseñas altamente complejas y difíciles de adivinar. Estas contraseñas deben restablecerse en un horario regular, y las restricciones generalmente impiden que los usuarios reciclen las contraseñas de forma consecutiva. También se les indica a los usuarios que se abstengan de usar contraseñas iguales o similares en múltiples sistemas de TI. Como todos los usuarios saben, esto hace que recordar las contraseñas sea muy difícil. De lo contrario, las personas bien intencionadas a menudo se enfrentan a estos desafíos ignorando los consejos y omitiendo las contraseñas comunes y fáciles de recordar, completando el ciclo de las contraseñas utilizadas anteriormente y realizando solo cambios mínimos entre reinicios, entre otras estrategias para reducir el esfuerzo. Otros simplemente los escriben y publican en un lugar conveniente, pero inseguro. 

Bajo las nuevas pautas, se recomienda a los usuarios que seleccionen frases de contraseña más largas y memorables en lugar de cadenas de caracteres crípticos con reglas de construcción complejas, ya que es más fácil para los usuarios recordar frases coherentes que cadenas de caracteres aleatorios. Esta misma lógica inspiró el consejo convencional de generar contraseñas seguras a través de acrónimos basados ​​en frases fáciles de recordar que son significativas para el usuario (por ejemplo, tomar la primera letra de cada palabra en la frase "¡Robert ha sido un fanático de los espartanos desde 2010!" Generaría " RhbaSfs2010! ”). Este acrónimo de 12 caracteres generalmente cumple con los estrictos requisitos de construcción de contraseñas y proporciona una seguridad sólida. Sin embargo, las nuevas normas NIST fomentan el uso de toda la frase de contraseña en lugar de solo el acrónimo. La frase original de 44 caracteres presenta un desafío criptográfico mucho mayor que el acrónimo de 12 caracteres y es probablemente más fácil de recordar para el usuario. 

Las nuevas pautas ofrecen a los usuarios una mayor flexibilidad y seguridad sin forzarlos necesariamente a cambiar su concepto de contraseña segura. Si bien las pautas facilitan y fomentan el uso de frases de contraseña más largas, la única restricción de construcción impuesta bajo las pautas del NIST es una longitud mínima de contraseña de ocho caracteres. Como tal, los usuarios no están obligados a crear contraseñas que sean apreciablemente diferentes de aquellas a las que están acostumbrados según las reglas de complejidad tradicionales. Solo necesitan asegurarse de que su contraseña o frase de contraseña tenga la longitud suficiente y no aparezca en un diccionario de contraseñas prohibidas.

Los usuarios también apreciarán no tener que cambiar su contraseña en un horario predefinido. Los cambios regulares de contraseña, que evitan el uso de contraseñas comprometidas durante un período prolongado de tiempo, crean dolores de cabeza para los usuarios que deben generar y recordar nuevas contraseñas continuamente. Los usuarios a menudo compensan haciendo solo pequeñas modificaciones a la contraseña (como agregar o cambiar un solo carácter), lo que socava la intención de la política. El mayor esfuerzo en que se incurre al obligar a los usuarios a realizar cambios regulares de contraseña probablemente supera el beneficio potencial a menos que haya evidencia de una violación del sistema o una razón para creer que una cuenta en particular se ha comprometido. En consecuencia, las nuevas pautas del NIST recomiendan el restablecimiento de contraseñas solo en los casos en que existe una sospecha de amenaza en lugar de forzar el restablecimiento en un horario establecido.

Si bien las pautas actualizadas hacen que las prácticas de contraseña segura sean más fáciles para los usuarios de varias maneras, también presentan problemas potenciales y puntos de dolor. Por ejemplo, las pautas del NIST requieren un paso de validación del diccionario en el que las contraseñas comúnmente utilizadas y, de lo contrario, inseguras se rechazan según una lista especializada. En ausencia de reglas de construcción específicas o de transparencia en la lista prohibida, los usuarios pueden sentirse frustrados si encuentran una serie de rechazos. Además, para algunos usuarios, un mensaje que simplemente indica que su contraseña deseada no fue aceptada porque aparece en una lista prohibida puede no ser suficiente información para que sus intentos posteriores tengan éxito. Para que los usuarios aprovechen al máximo las oportunidades de mayor seguridad, puede ser necesaria la capacitación y el apoyo específicos. Por lo menos,

Una amenaza persistente es la capacidad de los atacantes para usar información personal de fuentes públicas o emplear técnicas de ingeniería social para hacer conjeturas inteligentes sobre las credenciales. La frase de contraseña de ejemplo "¡Robert ha sido un fan de Spartans desde 2010!" Tiene muchas de las características distintivas de una buena contraseña: es fácil de recordar para el usuario, es lo suficientemente largo e incluye una variedad de tipos de caracteres. Sin embargo, si el individuo publica su afiliación a la universidad, el interés en los deportes escolares y la fecha de graduación en Facebook (u otras redes sociales), un atacante motivado podría fácilmente recopilar y utilizar este tipo de información personal para acortar el camino a una contraseña exitosa. Este tipo de vulnerabilidad no es exclusivo de las pautas de NIST, pero la mayor flexibilidad permitida en la construcción de contraseñas podría hacer que esta debilidad sea un problema más importante.

Beneficios y riesgos, desde la perspectiva del profesional de la seguridad.

Los profesionales de la seguridad son conscientes de que las pautas existentes diseñadas para hacer que las contraseñas sean más difíciles de adivinar a menudo proporcionan una falsa sensación de seguridad. "Pa $$ w0Rd12" satisface los requisitos de construcción convencionales, pero estaría entre las primeras contraseñas adivinadas con el conjunto de herramientas estándar de un atacante. Las pautas de NIST SP 800-63-3 reflejan el hecho de que los usuarios suelen ser el eslabón más débil de la seguridad al abordar algunos de los factores que motivan a los usuarios a tomar decisiones de seguridad deficientes. Como tales, las directrices NIST actualizadas tienen el potencial de ayudar a los profesionales de la seguridad de la información a aumentar la solidez de las garantías de autenticación sin aumentar la carga para los usuarios.

Criptográficamente, las contraseñas más largas con múltiples tipos de caracteres son más seguras, pero las pautas de construcción tradicionales generalmente hacen que las contraseñas largas y complejas sean difíciles de recordar y en realidad pueden disuadir a los usuarios de crear contraseñas más seguras.  Algunos sistemas heredados incluso limitan la longitud de la contraseña o restringen los tipos de caracteres para simplificar, lo que obliga a los usuarios a tener contraseñas menos seguras. NIST ahora recomienda que los sistemas estén configurados para permitir frases de al menos 64 caracteres o más y para aceptar conjuntos expandidos de tipos de caracteres, incluidos espacios, signos de puntuación e incluso caracteres no estándar como emojis (cuando sea posible) para alentar contraseñas más seguras sin imponer reglas de complejidad difíciles de manejar. .

Las pautas de NIST también fomentan la autenticación multifactor en todas las aplicaciones, excepto las menos sensibles. Al igual que con otros aspectos de las nuevas directrices de NIST, la autenticación multifactor puede aumentar significativamente la seguridad al tiempo que minimiza el impacto en los usuarios. Ya sea a través de la biometría, aplicaciones habilitadas para teléfonos inteligentes, llaveros o claves criptográficas, la autenticación multifactor proporciona una segunda línea de defensa sólida en la seguridad de autenticación sin sobrecargar a los usuarios.

Si bien las nuevas pautas ofrecen ventajas significativas, los profesionales de la seguridad deben considerar cuidadosamente las ventajas y desventajas que vienen con la implementación de estas pautas y no esperar una solución fácil para la autenticación segura. Por ejemplo, gran parte de la seguridad mejorada en las pautas de NIST SP 800-63-3 se debe a que facilita a los usuarios la adopción de contraseñas más largas, pero en realidad no están obligados a cambiar su comportamiento de contraseña normal. Un individuo podría crear una contraseña simple tan corta como ocho caracteres alfa (o numéricos). Si la contraseña no está restringida por la lista de contraseñas prohibidas, el usuario podría seleccionar una contraseña que sea más fácil de descifrar de lo que sería posible bajo las reglas de complejidad tradicionales.

El diccionario de contraseñas prohibidas es fundamental para la seguridad mejorada proporcionada por las pautas de NIST y merece la atención especial de los profesionales de la seguridad. Una consideración importante es que el NIST no prescribe una lista de contraseña incorrecta en particular, por lo que los implementadores deben adoptar, desarrollar y mantener su propia cuenta. Hay repositorios de código abierto de contraseñas comprometidas y de uso común como "SecLists" en Github, además de una serie de servicios comerciales que proporcionan diccionarios de frases de contraseña incorrectas mantenidos profesionalmente. Un ejemplo de herramienta de validación de contraseña basada en SecLists, "NIST Bad Passwords", está disponible en Github y puede evaluarse como prueba de concepto para personas interesadas en implementaciones de diccionarios. Sin embargo, tales listas son de uso limitado ya que no están diseñadas para abordar contraseñas específicas de contexto problemáticas.

Restringir adecuadamente las contraseñas específicas del contexto es un desafío particularmente desconcertante. Por ejemplo, la inclusión del nombre de usuario propio de un usuario, el nombre del sitio web, el nombre de la organización asociada u otra terminología relacionada es menos segura al autenticar a un usuario en el sistema relacionado. En el contexto de la protección de un sistema universitario, la inclusión del nombre de la universidad, su mascota o sus derivaciones en una frase de contraseña podría facilitar la tarea de adivinar de un atacante. La construcción cuidadosa del diccionario de contraseñas prohibidas puede reducir parte de este riesgo. Por ejemplo, si la mascota de una universidad es un espartano, sería conveniente agregar esta palabra y las derivaciones relacionadas al diccionario prohibido. Finalmente, los graduados de la universidad se unirán a otras organizaciones que no tendrían ninguna razón aparente para restringir las mismas palabras a pesar de que la afiliación sigue siendo una parte importante de la identidad personal del usuario. Por lo tanto, un enfoque de diccionario genérico no puede bloquear razonablemente todas las afiliaciones y preferencias fácilmente discernibles asociadas con un usuario individual, ni esto necesariamente sería una buena idea. La misma palabra puede ser una afiliación fácil de adivinar para una persona y una opción oscura y relativamente segura para otra.

Este es un tema no trivial, ya que ningún diccionario estándar podrá manejar estos tipos de "vulnerabilidades locales". Cada organización debe desarrollar una política y un proceso para incorporar restricciones razonables de contraseña específica para el usuario y la organización y revisarlas periódicamente. A medida que los sistemas y las organizaciones evolucionan con el tiempo, los tipos de palabras clave y otra información relevante que debe restringirse pueden cambiar junto con ellas y debe existir un proceso para rastrear e implementar protecciones contra nuevas amenazas. Además, si ocurre una violación, las contraseñas comprometidas deben agregarse rápidamente a la lista de prohibidos.  La incorporación de estas restricciones adicionales es probablemente el aspecto más desafiante técnicamente e intensivo del proceso de implementación de las pautas de contraseña de NIST.

En cualquier caso, las pautas de NIST SP 800-63-3 dejan claro que se debe evitar que los usuarios utilicen heurísticas de contraseña inseguras más allá de las bloqueadas por el diccionario de contraseña prohibido. Por ejemplo, a los usuarios no se les debe permitir el uso de caracteres repetitivos o secuenciales. Estos peligros de construcción de contraseñas adicionales podrían incluirse potencialmente en un diccionario, pero podrían ser más sencillos de implementar mediante programación.

Las pautas del NIST evitan los restablecimientos obligatorios programados de contraseñas, en lugar de requerirlos solo cuando existe la sospecha de una infracción. Los restablecimientos periódicos de contraseñas se han utilizado en parte para limitar el tiempo durante el cual un sistema podría estar expuesto a una cuenta comprometida, una práctica que agrega seguridad solo bajo el supuesto de que, de hecho, ha habido una violación. Los restablecimientos de contraseña innecesarios no solo frustran a los usuarios, sino que también agregan trabajo para los administradores y el personal de soporte. Si no se requieren cambios de contraseñas, es importante que los administradores del sistema tengan las herramientas y los recursos para monitorear de manera efectiva la actividad del usuario para identificar cuentas comprometidas o posibles infracciones para que la amenaza de acceso no autorizado pueda manejarse rápidamente. Este aspecto de las directrices NIST merece una reflexión cuidadosa. Los profesionales de la seguridad necesitan conocer el perfil de riesgo de sus sistemas, usuarios y la información que protegen para tomar decisiones inteligentes sobre el monitoreo de violaciones y las políticas relacionadas con el restablecimiento de contraseñas.

Conclusión

Las pautas de contraseña actualizadas de NIST SP 800-63-3 representan una oportunidad para que organizaciones de todo tipo modernicen sus políticas y prácticas de autenticación de usuarios. Si bien muchas entidades relacionadas con el gobierno de los EE. UU. Están obligadas a implementar las recomendaciones del NIST, cualquier organización es libre de adoptar (en todo o en parte) la guía actualizada que aparece dentro de la norma.

Las contraseñas han sido durante mucho tiempo una espina para los usuarios y los profesionales de la seguridad. Las directrices de NIST dan un paso adelante para abordar muchos de los puntos débiles de las contraseñas al tiempo que fomentan prácticas de seguridad mejoradas teniendo en cuenta el vínculo más débil en la seguridad del sistema: los propios usuarios. Sin embargo, las organizaciones que han adoptado o pueden estar considerando la adopción de las pautas de NIST SP 800-63-3 deben asegurarse de que tienen un conocimiento profundo de los fundamentos y mecanismos detrás de los cambios en los procedimientos de seguridad de autenticación. También deben tener en cuenta no solo las ventajas potenciales de las directrices NIST en comparación con las políticas de contraseña tradicionales, sino también el riesgo residual para la seguridad del usuario que no se aborda directamente en las nuevas directrices.

Fuente: ISACA

Oficinas

hideMall Plaza Paraíso, Costa Rica, Cartago

hideTel/Fax. (506) 4001-3874

hideinfo@gti.co.cr

Horario

hideLun-Vir --------------------------- 8am - 5pm

hideSab-Dom --------------------------- Cerrado

hideSoporte --------------------------- 24x7/365

Redes Sociales

Comuníquese con nosotros en.